Transversal
2. Les risques en cascade d'une supply chain étendue
La supply chain tracte dans son giron des dizaines d'acteurs, du donneur d'ordres jusqu'au dernier sous-traitant. Dès lors, comment appréhender la notion de sécurité informatique dans cette organisation en cascade qui, à l'heure du digital, voit les acteurs s'interconnecter de plus en plus les uns avec les autres ? La cybersécurité de l'ensemble de la chaîne logistique devient cruciale.
L'enquête Global state of information security survey (GSISS) publiée par PwC en 2017 dévoile que les sources d'attaques dont sont victimes les entreprises sont dans 32 % des cas dues aux interconnexions avec leurs fournisseurs de services, consultants et contractants. Cette nouvelle dimension de la gestion du risque supply chain doit amener les donneurs d'ordres à s'assurer de la fiabilité de leurs sous-traitants en matière de sécurité informatique et à identifier ceux qui présentent des risques.
Un risque systémique
« Le risque digital en tant que tel est systémique, juge Philippe Cotelle, risk manager d'Airbus Defence & Space, président de la commission SI de l'Amrae (Association pour le management des risques et des assurances de l'entreprise) et administrateur de la Ferma (Federation of european risk management associations). Face à une stratégie de gestion de la supply chain consistant à ne pas dépendre que d'un seul sous-traitant, à bénéficier de plusieurs sources disponibles dans différents pays, les entreprises découvrent, avec le risque digital, que leurs prestataires se retrouvent corrélés les uns aux autres et donc qu'elles peuvent toutes tomber le même jour si elles sont affectées par un virus mondial ». Face à cette nouvelle menace systémique, l'Amrae enjoint à développer des stratégies de gouvernance du risque cyber, à demander des spécifications de standards dans le cadre des offres de sous-traitance et à développer des capacités d'audit pour vérifier la conformité des prestataires aux attentes en matière de sécurité. « Il est nécessaire d'augmenter la résilience des sous-traitants. Cela doit passer obligatoirement par des plans de continuité d'activité et également par des demandes d'assurances cyber, aujourd'hui peu développées dans le cadre d'entreprises de taille moyenne », poursuit Philippe Cotelle.
Les grands donneurs d'ordres, qui gagnent aujourd'hui en efficacité en imposant de la technologie dans la supply chain, amenant les petites sociétés qui la composent à déployer elles-mêmes des outils digitalisés, viennent ainsi exacerber ce phénomène d'interconnexions multiples, créatrices de risques cyber. « Il y a dix ans, la posture d'un donneur d'ordres consistait à gérer le sujet sécurité au travers d'un contrat, en demandant à ses sous-traitants de se conformer à une politique. Lorsque cela allait mal, on envoyait un avocat pour essayer d'évaluer un préjudice, ce qui n'exonérait pas du risque sur la supply chain. Aujourd'hui, lorsque les donneurs d'ordres sont avancés et matures en matière de cybersécurité, ils cherchent davantage à apporter cette compétence à leurs fournisseurs et ils essaient de les orienter très précisément sur ce qu'ils doivent sécuriser et comment ils doivent le faire », observe Philippe Trouchaud, associé PwC, spécialiste en cybersécurité. Une tendance naissante conduisant à dépasser le cadre juridique et les politiques de sécurité pour apporter également un appui opérationnel aux petites sociétés.
La révolution RGPD
Dans cette chaîne d'acteurs intrinsèquement liés, un événement vient aujourd'hui changer la donne en matière de responsabilité : le RGPD (Règlement général sur la protection des données). « Avant, il n'y avait que l'entreprise concernée qui payait les dégâts. Avec le RGPD c'est une véritable révolution : même dans le cas d'un soustraitant qui gère mal son processus de sécurité, le donneur d'ordres va également pouvoir être jugé responsable, explique Rémy Février, ancien officier supérieur de la gendarmerie, maître de conférence au Cnam, spécialiste en intelligence économique et sécurité des systèmes d'information. Les deux parties doivent donc faire un effort : le grand groupe qui, s'il veut vraiment sécuriser ses approvisionnements, ne peut tirer de manière outrancière ses tarifs vers le bas, et la PME qui, si elle veut continuer à travailler avec le donneur d'ordres, a tout intérêt à se mettre à niveau pour sécuriser ses systèmes d'information ».
Le règlement de l'Union européenne 2016/679, dit RGPD, entré en vigueur le 25 mai 2018, impose aux entreprises, afin de garantir la vie privée, de protéger les données à caractère personnel qu'elles possèdent et de se prémunir contre le vol ou la fuite de ces dernières. Une protection qui passe par des dispositifs de cybersécurité. De plus, il évoque le terme de responsabilité conjointe entre les donneurs d'ordres et leurs sous-traitants. Une nouveauté dont les acteurs de la supply chain n'ont pas toujours pleinement conscience : « Le RGPD implique une responsabilité du soustraitant. On va donc peut-être voir apparaître, à l'avenir, davantage d'audits avec la mise en place de normes. Aujourd'hui, on évalue les risques financiers, ce sera dorénavant le cas des risques cyber. Cela pourra passer par des certifications, car si vous voulez avoir une chaîne logistique sûre, il faut que chaque acteur ait été vérifié sur un plan cyber et que chacun puisse dire dans les 48h : “Je sais quoi faire, je suis assuré, j'ai mis en place tel correctif ou telle tâches, j'ai limité les potentiels dégâts d'une cyber-attaque” », juge Olivier Lasmoles, professeur associé en droit et chef du département “Supply chain management et Sciences de la décision” à l'EM Normandie.
Focus
Cloud et SaaS : maillons faible de la sécurité ?
À l'heure d'une digitalisation croissante des entreprises et d'une augmentation en conséquence de leurs données, celles-ci ont de plus en plus recours au stockage en ligne offert par les services de cloud.
À ce sujet, 98 % des sondés du Baromètre du Cesin, jugent que la transformation numérique a un impact sur la sécurité des systèmes d'information et des données, la retombée la plus fréquente étant, pour 75 % d'entre eux, le recours plus important au cloud. L'enquête menée par les cabinets Bessé et PwC, intitulée Les dirigeants d'ETI face à la menace cyber et publiée en mars 2018, relève à ce sujet que les solutions cloud représentaient, en 2017, près de 50 % des services informatiques apportés aux entreprises. On peut s'interroger sur les potentiels risques de compromission d'intégrité et de sécurité des données auxquels elles s'exposent : « Parmi ces services, beaucoup d'ETI préfèrent déléguer aux prestataires de cloud la sécurisation de leurs infrastructures informatiques. Ces solutions cloud sont alors identifiées comme un moyen de renforcer la protection des données même si la concentration d'entreprises au sein d'un même hébergeur augmente le risque systémique de nature à les impacter en cas de défaillance du prestataire », observe l'étude. « Passer en mode SaaS, c'est potentiellement donner les clefs de son système d'information à une entité extérieur, au risque de voir celle-ci se faire pirater », observe Rémy Février qui évoque les failles logicielles Meltdown et Spectre mises en évidence début 2018 par une équipe de chercheurs, affectant les principaux fabricants de processeurs et susceptibles de permettre aux hackeurs de s'emparer des données des utilisateurs.
Pour autant Philippe Trouchaud, associé PwC, spécialiste en cybersécurité, voit également dans ces services de cloud et de SaaS une bonne manière pour les petites entreprises de se doter justement d'un outil sécurisé qu'elles n'auraient pas la possibilité de s'offrir par leurs propres moyens. L'externalisation de ce service ne doit alors pas forcément être considérée comme un maillon faible, s'agissant d'une moyenne entreprise, juge-t-il : « Aller vers un prestataire de cloud sérieux constituera plutôt pour une ETI une façon d'accéder à la compétence et à des moyens de surveillance de la sécurité qu'elle ne pourrait pas s'offrir toute seule. Effectivement, si le prestataire de cloud est défaillant, cela peut faire tomber toute une supply chain, mais s'il est performant, il possède des dispositifs de résilience plus efficaces que ceux que peut s'offrir une petite entreprise ».
